便宜的 1 年长期限的单域名和通配符 Https 证书，可前往龙笑天下商店购买，推荐买多年最优惠：

在这里引用宝塔官方说法：在未指定 SSL 默认站点时,未开启 SSL 的站点使用 HTTPS 会直接访问到已开启 SSL 的站点

相信使用宝塔面板的盆友，应该都遇到过宝塔这个 https 串站问题。很多盆友遇到了，但忽略了它，觉得没啥影响的，就置之不理了...

置之不理肯定是不行的，不能有掩耳盗铃侥幸心理，通过这个漏洞，“大有可为”了！先不说串站可能会影响收录 SEO 这一点了，更重要的是它会导致一个不小的安全问题：你的源站 IP 正在泄露，即便你使用了CDN也不行！

至于怎么泄露源站 IP，这里只简单的说一下：可以直接通过 https://你服务器 IP 地址来访问，nginx 会向浏览器发送默认的 SSL 证书，通过查看证书详情可以找到对应的域名。详细了解请见下面的参考文章 1。

下面龙笑天就来说下本文重点了，怎么堵上这个串站、泄露源站 IP 的漏洞。使用宝塔面板的，跟着下面步骤一步步做就 OJBK 了；使用 LNMP 一键包或其它程序的，也可以参考着处理下。

新建一个不存在的站点，域名填写为：default.default，提交，如下图：

点击下图红框，进入此站点根目录，删除里面的默认文件 index.html 和 404.html：

回到宝塔“网站管理”，找到 default.default，点“设置”进入网站配置，然后点击“SSL”，如下图：

然后密钥和证书填写如下，填写完毕，点保存：

回到宝塔“网站管理”，如下图，将上面建立的这个站点设置为默认站点，提交：

至此，设置全部结束，访问 https://你服务器 IP，如果浏览器提示下图这样（“高级”里看不到自己服务器上的网站域名）或者显示“403 Forbidden”，那么恭喜你，漏洞已被堵上了！如果能访问到你网站，那么也“恭喜你”，你中这漏洞了~

整个过程，懂了原理就容易了，建立一个虚假域名默认站点，对应的自签一个虚假域名证书，OVER。PS：LNMP 一键包等其他环境也可以参考着弄一下~

用 CDN 隐藏网站真实 IP 就万无一失了？一个蹊跷的网站正泄露你的站点 IP | 西枫里 宝塔面板 https 默认站点的处理办法 - Linux 面板 - 宝塔面板论坛 宝塔面板设置默认站点以及自签证书 – 预防使用 cdn 后泄露源站 IP - 大鸟博客 Nginx 超简单设置默认站点为空 - Hostloc

还没有人赞赏，快来当第一个赞赏的人吧！

声明：本文为原创文章，版权归龙笑天下所有，欢迎分享本文，转载请保留出处！